もはや本物と見分けがつかない偽ATM。巧妙化するサイバー犯罪
もはや本物と見分けがつかない偽ATM。巧妙化するサイバー犯罪2011.01.13 14:00 satomi 一見ふつうのATM。銀行のビル内に設置されてるし、変なスキマー(カード磁気情報読取機)にも見えないし、暗証番号入力の時は隠しカメラが取り付けられてた場合に備えて手もちゃんと隠してるし、まあ、万全ですよ、ははは。 ...と思いきや。 今どきのクレジットカード情報・個人認証ID泥棒は、ATMのキーボード上に本物そっくりの偽キーボードを被せて入力情報をくすねてるらしく、もはや専門家でもない限り見分けつかないんだそうですよ! 利用者は普通にATMが操作できるんですけど、偽の磁気ストリップリーダー ―MP3プレーヤーやら携帯電話やらの機器から調達したスペアの電子部品が詰まったカスタムメードのプラスティックケース― がついていて、そこからリアルタイムで暗証番号が盗られちゃうので、カード使い終わっ
更新:Apache Struts2 の脆弱性対策について(CVE-2014-0094)(CVE-2014-0112)(CVE-2014-0113):IPA 独立行政法人 情報処理推進機構
HOME情報セキュリティ更新:Apache Struts2 の脆弱性対策について(CVE-2014-0094)(CVE-2014-0112)(CVE-2014-0113) Apache Software Foundation が提供する Apache Struts は、Java のウェブアプリケーションを作成するためのソフトウェアフレームワークです。 Apache Struts 2 には、ClassLoader を操作される脆弱性(CVE-2014-0094 および CVE-2014-0112、CVE-2014-0113)が存在します。 本脆弱性が悪用された場合は、ウェブアプリケーションの動作権限内で情報の窃取や特定ファイルの操作、およびウェブアプリケーションを一時的に使用不可にされてしまいます。さらに、攻撃者が操作したファイルに Java コードが含まれている場合、任意のコードが実行され
CVE-2014-0160 OpenSSL Heartbleed 脆弱性まとめ - めもおきば
必要な情報は http://heartbleed.com/ にまとまっているのですが、英語だし長いしって人のために手短にまとめておきます。 どうすればいいのか OpenSSL 1.0.1〜1.0.1fを使っていなければセーフ あてはまる場合には、一刻も早くバージョンアップして、サーバごと再起動(わかるひとはサービス単位でもOK、ただしreloadではだめなことも) SSL証明書でサーバを公開しているなら、秘密鍵から作り直して証明書を再発行し、過去の証明書を失効させる(末尾に関連リンクあり)。 サーバを公開していない場合も、外部へのSSL通信があれば影響を受けるので、詳しく精査する。 PFS(perfect forward secrecy)を利用していない場合、過去の通信内容も復号される可能性があるため、詳しく精査する。 漏洩する情報の具体例は、OpenSSLの脆弱性で想定されるリスクとして
Heartbleed脆弱性と、その背後にあるWebアプリケーションアーキテクチャの一般的欠陥について
■Heartbleedのリスクと善後策 Heartbleedは、攻撃者が一定の条件を満たすOpenSSLが動作しているサーバの、任意位置のメモリを外部から読み出すことができてしまうという脆弱性です。具体的には、以下のようなリスクが想定されています。 秘密鍵の漏洩による、偽サイトの出現(あるいは中間者攻撃) 秘密鍵の漏洩により、(過去のものを含む)パケットキャプチャの解読 サーバの同一プロセスが行った処理に関連する(他のユーザーのパスワードやセッションキーを含む)データの漏洩 漏洩した秘密鍵を用いた攻撃には、ユーザーを偽サイトへ誘導できたり、パケットの経由点を管理しているなどの、経路上の要件が必要になります。他のユーザーのデータの漏洩については、経路上の要件は不要な一方、攻撃の実施に近いタイミングでサーバにアクセスしたユーザーのデータしか漏れない、という違いがあります。 どこまで対策を施すべ
遠隔操作ウイルス事件の犯人はデジタル・フォレンジックに精通している(杉浦隆幸ネットエージェント株式会社代表取締役社長) -マル激
1975年愛知県生まれ。東京理科大学中退。98年ネットエージェント設立。2000年株式会社化、現職に就任。10年12月から11年5月まで内閣官房「情報保全システムに関する有識者会議」委員。 3月13日に開かれた遠隔操作ウイルス事件の第3回公判で、検察側の証人として出廷した警察庁情報通信局情報技術解析課の岡田智明技官が証人台に立った。岡田氏は被告の片山祐輔氏の元勤務先のパソコンに遠隔操作ウイルスの断片が見つかったことを解説した上で、片山氏以外の人間がこれをここに残すことは「非常に困難」との意見を開陳することで、弁護側の、片山氏のパソコンが何者かによって乗っ取られていたとする主張を否定した。 しかしである。そもそもこの事件の真犯人は一切の足跡を残さずに他人のパソコンに侵入し4人の人間を誤認逮捕せしめた情報セキュリティのプロのはず。岡田証人の言う「非常に困難」が、誰にとって非常に困難なのかが問題
個人情報保護法に関するよくある疑問と回答 - 個人情報の保護 - 消費者庁
内閣府旧国民生活局時代の情報について 内閣府旧国民生活局時代の取組についての情報は、国立国会図書館インターネット資料収集保存事業(WARP)サイトにてご覧いただけます。 参考 旧国民生活局について(WARP) WARPについて(WARP) 旧国民生活政策ホームページ 国民生活政策ホームページ(WARP) 消費者の窓(WARP) 国民生活審議会 旧国民生活審議会 第21次国民生活審議会(平成19年9月~平成21年9月)(WARP) 第20次国民生活審議会(平成17年9月~平成19年9月)(WARP) 第19次国民生活審議会(平成15年7月~平成17年7月)(WARP) 第18次国民生活審議会(平成13年6月~平成15年6月)(WARP) 第17次国民生活審議会(平成11年4月~平成13年4月)(WARP) 国民生活審議会 過去のデータ(昭和36年6月~平成11年4月)(WARP) 国民生活白
私の住所録の流出について | 樋渡啓祐物語(2005年5月ー2015年2月)
今晩、Twitterで知ることになったんですが、2年前の私の年賀状用の住所録に関して、バックアップとしてYahoo!フォルダーに入れていたところ、誤って設定を、非公開とするはずを公開にしていました。 その結果、今日、住所録(個人名/住所)の流出が認められました。この場を借りて、関係者の皆さんには深くお詫びします。 選挙区の有権者に賀状等を送るのは、公職選挙法違反では無いかという指摘がありますが、それは違います。公職選挙法では、 (あいさつ状の禁止) 第百四十七条の二 公職の候補者又は公職の候補者となろうとする者(公職にある者を含む。)は、当該選挙区(選挙区がないときは選挙の行われる区域)内にある者に対し、答礼のための自筆によるものを除き、年賀状、寒中見舞状、暑中見舞状その他これらに類するあいさつ状(電報その他これに類するものを含む。)を出してはならない。 とあり、このリストは、「答礼のため
MicroAdの広告をご覧のお客様へ
MicroAd行動ターゲティング広告とは MicroAd行動ターゲティング広告は、“お客様にとって有益な情報は何か”ということを考え、最適な情報(広告)を選び出すサービスです。 お客様が求めていらっしゃる、あるいは探していらっしゃる情報を、的確にお届けしおすすめすることで、便利で快適なネットサービスのご利用をサポートいたします。 お得な情報やお役に立つ情報など、有益な情報をお客様にお届けできるよう、MicroAdは努めて参ります。 株式会社マイクロアドは、加盟している「一般社団法人 日本インタラクティブ広告協会(JIAA)」が定めるガイドラインに遵守し、弊社プライバシーポリシーに基づき、広告をご覧のお客様に対して、適切な広告を表示することを目的とした「行動ターゲティング広告」を提供しております。尚、株式会社マイクロアドは、当協会(JIAA)会員として、MicroAd広告ネットワーク企業に対
Israeli Test on Worm Called Crucial in Iran Nuclear Delay (Published 2011)
This article is by William J. Broad, John Markoff and David E. Sanger. The Dimona complex in the Negev desert is famous as the heavily guarded heart of Israel’s never-acknowledged nuclear arms program, where neat rows of factories make atomic fuel for the arsenal. Over the past two years, according to intelligence and military experts familiar with its operations, Dimona has taken on a new, equall
高木浩光@自宅の日記 - 「nwitter」の違法性について考えてみる
■ 「nwitter」の違法性について考えてみる ウェブメールのアドレス帳を勝手に使って参加させようとするSNS「Tagged」について, GIGAZINE, 2008年2月13日 この「Tagged」はよくあるふつうのSNSなのですが、参加する際になぜかウェブメールのログイン情報(メールアドレスとIDとパスワード)を入力させられるという仕様になっており、その際の情報を使って「Tagged」運営側が勝手にウェブメールにログイン、アドレス帳に記載されている友人全員に「Tagged」への招待メールを送りつけるというとんでもないことをしているようです。 の件が再び話題になっていた。これは、 ウイルス的SNS、Webメールのアドレス帳からスパム送信, ITmediaニュース, 2007年04月10日 GoogleのGmail、MicrosoftのHotmail、Yahoo! MailなどのWebメ
キヤノンのプリンターなどに脆弱性、攻撃の「踏み台」にされる恐れ
情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)は2008年3月5日、キヤノン製デジタル複合機とレーザービームプリンターに脆弱(ぜいじゃく)性が見つかったことを明らかにした。内蔵するFTPサーバー機能が、他のコンピューターへの「ポートスキャン」などに悪用される恐れがあるという。 脆弱性が見つかったのは、デジタル複合機の「Color imageRUNNER」「imageRUNNER」「imagePRESS」各シリーズ、およびレーザービームプリンター(LBP)シリーズ。これらの製品には、FTPで印刷要求を受け付ける「FTP印刷」機能がある。同機能を実現するために内蔵されているFTPサーバーを悪用される恐れがあるというのが、今回の脆弱性。 第三者は同機能を経由して、別のサーバーやネットワーク機器にアクセスできてしまうという。つまり、踏み台にすることが可能。
[セキュリティ編]パスワードをプログラムに埋め込んではいけない
情報セキュリティ・ポリシーの整備が進み,パスワードの定期的な変更を義務付ける会社が増えてきた。その一方で,業務アプリケーションやバッチ・ファイルに接続先サーバーのアカウントを埋め込んでいる場合も数多くある。こうしたアカウントもセキュリティ・ポリシーに従って,定期的にパスワードを変更しなければならない。 だが,「変更できる設計ではない」「変更作業のためには長時間業務停止しなければならない」などの理由で実質例外扱いされている場合が多い(図1)。しかし,これは危険な行為だ。 犯人の特定が困難になる セキュリティの観点からは埋め込まれたアカウントも通常の利用者用アカウントも区別は無い。むしろパスワードが変更されずに使用される埋め込みアカウントは,攻撃の対象として狙われやすい。 また,アカウントを記述したプログラムを複数システムで使った場合,その複数システムで同じアカウントで動作する状態になってしま
利用率7割のWEPは「1分」で破られる:ITpro
職場,自宅を問わず根付きつつある無線LAN。ただ,そのセキュリティに関しては,ユーザーの意識は意外に高くない。今回では,最も広くユーザーに利用されている無線LANの暗号化技術がどの程度弱いものかを確認しつつ,より安全な無線LANの使い方を改めて解説しよう。 IEEE 802.11a/b/gの無線LANには3種類のセキュリティ規格がある。WEP(wired equivalent privacy),WPA(Wi-Fi protected access),WPA2である。データを暗号化することで盗聴から保護し,有線メディアと同等のセキュリティを確保することが目的である。 ただ,2007年末に都内某所で調べたところ,受信できる無線LANの電波のうち,暗号化されていないものが16%,WEPでの暗号化が69%存在し,いまだにWEPが広く使われていることを再認識することになった。WPA/WPA2という最
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
三菱東京UFJ銀行の公式サイトがフィッシング詐欺対策を頑張り過ぎてむしろフィッシングサイトより胡散臭くなる : 市況かぶ全力2階建
高木浩光先生の「Ustream 平成24年度武雄市記者会見 「図書カードをTポイントカードに全部置き換え」」 - Togetter